Nach Angaben der Staatsanwaltschaft übernahmen die Angreifer innerhalb weniger Stunden die Kontrolle über drei Konten, darunter zwei von IT-Administratoren. Anschließend installierten sie ngrok und ein zweites Tunneling-Werkzeug namens Teleport, verschoben Daten in Amazon-Cloudspeicher und zogen mindestens 77 Gigabyte ab.
Offenbar versuchten die Täter danach, Ransomware einzusetzen. Das Sicherheitsteam des Unternehmens habe dies jedoch blockiert und die Angreifer aus dem Netzwerk verdrängt. Dennoch verschickten diese eine Erpressungs-E-Mail mit dem Betreff „WICHTIG: WIR HABEN DIE DATEN GESTOHLEN, KONTAKTIEREN SIE UMMEDIATELY [sic]“ und forderten später 8 Millionen US-Dollar in Kryptowährung. Das Unternehmen zahlte nicht. Der Vorfall verursachte laut Akte dennoch rund 2 Millionen US-Dollar an Kosten für Unterbrechungen, Untersuchung und Bereinigung.
Der Zugang erfolgte laut Quelle nicht über eine Software-Schwachstelle, sondern über den Helpdesk. Der Quelltext nennt deshalb keine Patches, sondern Prozessmaßnahmen als Gegenmittel: Identitätsprüfung vor jedem Reset durch Rückruf an eine bereits hinterlegte Nummer, Freigabe durch Vorgesetzte oder Video-Prüfungen bei privilegierten Konten. Phishing-resistente MFA wie FIDO2-Schlüssel könne andere Methoden der Gruppe abschwächen, helfe aber nicht, wenn ein Helpdesk ein Konto nach einem Telefonanruf zurücksetze.
Den entscheidenden technischen Bezugspunkt lieferten laut Beschwerdeschrift die Daten des Geräts, mit dem das ngrok-Konto eröffnet wurde. Microsoft teilte dem FBI mit, dass es die Global Device Identifier g:6755467234350028 trug. Microsoft beschreibt diese Kennung als beständigen Identifikator, der an eine einzelne Windows-Installation gebunden ist, Betriebssystem-Updates übersteht, sich aber bei einer Neuinstallation von Windows ändert.
Microsoft-Aufzeichnungen zufolge besuchte dieses Gerät am 12. Mai 2025 um 19:21 UTC die Registrierungsseite von ngrok – in derselben Minute, in der das ngrok-Konto angelegt wurde. Rund drei Stunden später erreichte dasselbe Gerät über denselben Proxy die Website des Juweliers. Zudem tauchte das Gerät laut Akte wiederholt auf denselben IP-Adressen und zu denselben Zeiten auf wie Snapchat-, Apple- und Facebook-Konten, die die Staatsanwaltschaft Peter Stokes zuschreibt: zunächst an einer Adresse in seiner Heimatstadt Tallinn in Estland im Juni 2024, dann in New York im November und in Thailand im Februar 2025. Diese Bewegungen seien durch Reisedaten des Außenministeriums bestätigt worden.
Die Ermittler beschreiben einen Akteur, der den Angriff hinter VPN-Proxy, Tunneling-Werkzeugen und Aliasen verbarg, nicht aber sich selbst. Die Staatsanwaltschaft führt an, sein Snapchat-Konto habe Bargeld, Uhren und Diamantketten mit der Aufschrift „HACK THE PLANET“ gezeigt sowie genau die Reisen, die ihn in diesen Städten verorteten.
Der Fall steht laut Quelltext exemplarisch für die Struktur von Scattered Spider. In einer separaten aktuellen Untersuchung argumentiert Group-IB, dass es sich weniger um eine einzelne Gruppe als um einen losen Verbund kleiner, unabhängiger Zellen handelt, meist mit nicht mehr als fünf Personen. Verbunden seien sie eher durch gemeinsame Methoden, Werkzeuge und Chaträume als durch eine gemeinsame Führung. Group-IB vergleicht das mit der Anonymous-Bewegung und erklärt, die Festnahme einzelner Zellen „werde die Bedrohung selbst nicht stoppen“.
Die Staatsanwaltschaft beschreibt Scattered Spider als eine Gruppe hinter mehr als 100 Einbrüchen und über 100 Millionen US-Dollar an Lösegeldforderungen. Weitere jüngere Verfahren verliefen ähnlich: Im April 2026 bekannte sich der Schotte Tyler Buchanan in den USA wegen Betrugs und Identitätsdiebstahls mit Bezug zu der Gruppe schuldig. Noah Urban, bekannt als „Sosa“, wurde 2025 wegen eines mit Scattered Spider verbundenen SIM-Swapping-Schemas zu zehn Jahren Haft verurteilt. Im Vereinigten Königreich räumten zwei mutmaßliche Mitglieder kürzlich ihre Beteiligung am Hack von Transport for London ein, der laut Quelle schätzungsweise 29 Millionen Pfund kostete.
Als die finnische Polizei Stokes am Flughafen Helsinki stoppte, als er einen Flug nach Japan antreten wollte, stellte sie zwei Festplatten mit je 2 Terabyte sicher. Laut Quelltext stützt sich der gesamte Fall auf genau solches Material: Gerätedaten, Kontoverknüpfungen und IP-Spuren.
